Python_0011的博客

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。相比原始HTML5 video标签，此组件解决了各平台兼容性问题并提供了更友好的用户体验，适合中大型Web应用中的视频播放需求。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

验证码（CAPTCHA）是一种用于区分人类用户和机器人的测试，通常以图像、音频或文字形式呈现给用户，要求用户根据提示进行识别或操作。验证码的目的是防止自动化程序（如恶意机器人）对系统进行恶意攻击或滥用。验证码复用指的是在验证码在生成和被使用后，网站后端没有及时主动销毁或更新该验证码，导致该验证码可以被重复使用。恶意用户可以将重复利用同一验证码，绕过验证码的验证机制，直接访问后续业务。验证码复用漏洞是一种安全漏洞，通常出现在需要验证码验证的系统中。

.markdown-body pre,.markdown-body pre>code.hljs{color:#333;background:#f8f8f8}.hljs-comment,.hljs-quote{color:#998;font-style:italic}.hljs-keyword,.hljs-selector-tag,.hljs-subst{color:#333;font-weight:700}.hljs-literal,.hljs-number,.hljs-tag .hljs-attr,.hl

本文是揭秘大厂系列的第一篇，技术专项落地的全流程，接下来会陆续给大家带来研发流程、稳定性机制、动态化方案、研发效能、面试官修养、工作体验等多维度多方面的详细介绍，有技术专题，也不止于技术，希望可以给你带来有“原来如此”也有“不过如此”的认识和理解。如果大家有想了解其他方面的，也欢迎提议。下面开始正文。技术专项通常是指对某一特定领域技术的研究、开发和应用，简称技改。技术专项是以技术为主导的需求，通常规模大，涉及业务多，影响范围广，对稳定性和性能要求高。面向过去。

UI还原能力：Claude 3.7 胜出 ✅项目理解能力：Claude 3.7 胜出 ✅架构设计能力：Claude 3.7 胜出 ✅物理规律理解：Claude 3.7 胜出 ✅实际测试结果摆在这里，这没啥好说的，Claude 3.7确实提升了 AI 编程的天花板。在本次发布的最后，Claude还给出了Claude模型的演进路线图2024年 - Claude assists（Claude 协助）：帮助个人更好地完成他们当前的工作，使每个人都能成为最好的自己。

SQL注入（SQL Injection）是当应用程序允许用户输入未经验证的数据直接插入到数据库查询中时，攻击者可以利用这一点插入恶意SQL语句，从而获得数据库的机密信息或执行其他恶意操作。这种方式有效避免了SQL注入的风险，因为数据库引擎将处理它们时，不会将它们作为SQL语句的一部分执行，而是会将它们视作数据。传入的是用户输入的字符串，它会被Mybatis自动转义或处理为查询参数，而不是直接嵌入到SQL中，从而有效避免了恶意SQL注入的发生。，即使是最简单的下拉框，也不能完全信任其传来的值。

注入漏洞是层面最高危的漏洞之一。

MyBatis-Plus 提供了apply方法，用于在查询条件中直接拼接自定义的 SQL 片段。然而，直接拼接 SQL 片段可能会导致风险。为了避免 SQL 注入，需要谨慎处理用户输入，并使用参数化查询或 MyBatis-Plus 提供的安全方法。

在 AI 时代，阅读代码不必再那么痛苦。善用 Cursor 这样的智能工具，能让我们事半功倍。正如"工欲善其事，必先利其器"，拥抱新技术不仅能帮助我们更快地理解代码，更能提升整体的开发效率。本文限于篇幅，只介绍了 Cursor 的一些基础用法。事实上，随着 AI 技术的快速发展，每天都有新的工具和方法被开发出来。如果你也对 AI 编程感兴趣，欢迎加入我的付费社群深度交流（微信公众号同名）。让我们一起在 AI 浪潮中不断进步，用智能工具让编程更轻松！黑客/网络安全学习路线。

在介绍 FRP之前，先来说说内网穿透的概念。内网穿透是一种网络技术，可以让处于局域网（比如你家里的网络）中的设备，通过互联网与外部设备进行通信。简单来说，就是让你家里的电脑、摄像头、服务器等设备，可以通过互联网从外面访问到。FRP是一款强大的内网穿透工具，能够将你的本地服务（例如你电脑上的网站或应用程序）映射到互联网，让你可以轻松地从外网访问这些服务。无论是个人开发者、企业团队，还是爱好者，FRP都能为你提供高效、稳定的解决方案。

7、cpolar cpolar 是一款功能强大的内网穿透工具，支持 HTTP、HTTPS、TCP 协议，广泛适用于各种开发和测试场景。2、小飞鱼内网穿透 小飞鱼内网穿透 是一款简单易用的内网穿透工具，支持 HTTP、HTTPS 和 TCP 协议。1、FRP (Fast Reverse Proxy) FRP 是一个高性能的反向代理应用，旨在帮助用户穿透防火墙，支持 TCP、UDP、HTTP、HTTPS 等协议的穿透。内网穿透是指通过特定的网络技术或工具，突破内网的防火墙和路由器，允许外部设备访问内网的服务。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。木马免杀问题与防御********必知必会。掌握Redis未授权访问漏洞。

本文目的是记录如何通过内网穿透访问本地服务。本文将配置两个内网穿透端口服务来说明。

在运维工作中，为了保证业务的正常运行，对系统进行安全加固，配置安全产品抵御外来的恶意攻击是运维工作非常重要的一部分。黑客经常利用弱口令和各类系统漏洞，软件漏洞对服务器远程渗透，从而造成业务中断，更为严重可能会影响整个公司的运营。那么面对如此“猖獗”的木马病毒，我们有什么解决方法吗？当然有！小编就从中毒前的防御和中毒后的杀除两方面介绍一些通用的方法，从而避免木马病毒的伤害。

AI正在重塑黑客和恶意软件开发的四种方式，以及我们如何保持警惕以应对这些方式。译自，作者 Luke Hinds。人工智能正在以惊人的速度重塑各个行业，网络安全领域也不例外。从编码助手到渗透测试工具，我们正在见证人工智能驱动机制的兴起，这些机制能够提高生产力和解决问题的能力。然而，能够增强开发工作流程的相同工具也可能使恶意行为者受益。以下是AI正在重塑黑客和恶意软件开发的四种方式，以及我们如何保持警惕以应对这些方式。

国际电信联盟将网络安全定义为一系列保护网络环境、组织和用户资产的政策、理念和技术。随着云计算、大数据和工业互联网等技术的飞速发展，网络安全的内涵不断丰富，边界持续扩大，涵盖了互联网、电信网、物联网、计算机系统、通信系统、工业控制系统等所有系统的设备安全、数据安全、行为安全和内容安全。。全球数据泄露事件层出不穷，损失日益攀升。近年来，针对数据的攻击、窃取和滥用事件屡见不鲜，对经济社会造成了巨大冲击。2022 年，英伟达、三星电子、Twitter 等知名公司相继发生数据泄露事件。

DNS 隧道（DNS Tunneling），是隧道技术中的一种，并且很难防范，因为正常的业务难免会用到 DNS 进行域名解析，所以防火墙大多对 DNS 的流量是放行状态。此时，如果我们在边界服务器构造一个恶意的域名(aaa.cn)，当本地的 DNS 服务器无法给出回答时，就会以迭代查询的方式通过互联网定位到所查询域的权威 DNS 服务器。另外直连方式的限制比较多，如目前很多的企业网络为了尽可能降低遭受网络攻击的风险，一般将相关策略配置为仅允许与指定的可信任 DNS 服务器通信。当然就是用代理技术啦！

之后尝试对内网其他服务器使用cobaltstrike的powershell进行上线，发现powershell组策略被关闭，无法执行任何powershell命令。内网渗透平时很少能遇到，在平时工作中更加偏向于外网的Web打点之类的工作，所以就找寻国外的服务器进行渗透练手，熟悉下内网渗透的步骤。查看服务器本地的rdp远程桌面记录，内网18段的138为同密码登录，这是个专门扫描病毒的机器，安装了迈克菲。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

首先，利用 webshell 执行开篇的命令收集内网前期信息(不局限用 webshell)，也可以用 msf 等平台，或 powershell 收集信息，判断机器所处区域，是 DMZ 区，还是办公区，核心 DB 等;机器作用是文件服务器，Web，测试服务器，代理服务，还是 DNS，DB 等;

这些漏洞几乎都是RCE（绝对高价值），100%有PoC及微步捕获到攻击行为（危害极大），漏洞80%来自微步漏洞奖励计划（绝对是认真的），与市面上已发布漏洞绝大多数都不重复，强烈建议各位师傅提前排查。另外，攻防演练期间，微步同样提供漏洞验真报告，对每一条漏洞进行人工验证与复现，并将所有验真漏洞汇总成报告（下方为2023年攻防演练期间，微步提供的攻防验真报告截图）。大白也帮大家准备了详细的学习成长路线图。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

Agent 框架代表着人工智能系统设计模式的重大转变。与依赖静态、预定义工作流程的传统 AI 应用程序不同，Agent 框架引入了动态自适应系统，该系统具备自主感知、推理和行动的能力。这些框架可以把复杂任务拆解成多个小子任务，交给专门的 Agent 协作完成，以实现更宏大的目标。借助大型语言模型（LLM），Agent 框架能够管理工作流程、做出决策，还能无缝集成各种工具，这使得它成为动态决策、实时问题解决等高级应用的理想之选。

在当今这个科技飞速发展的时代，“大模型” 这个词频繁地出现在我们的视野中，无论是新闻报道、科技论坛，还是日常的交流讨论，似乎它已经成为了一个家喻户晓的热词。但对于很多人来说，大模型到底是什么，它又为何能引起如此广泛的关注和讨论，仍然是一团迷雾。今天，就让我们一起揭开大模型神秘的面纱，用通俗易懂的语言来深入了解一下这个引领智能新时代的关键技术。一、大模型究竟是什么简单来说，大模型就是一种超级强大的人工智能模型。

然而，当DeepSeek在2025年横空出世后，曾经的喧嚣却戛然而止——那些高调宣称“技术领先”的玩家们，要么沉默不语，要么匆忙转向，仿佛一夜之间被抽走了底气。当技术壁垒被打破，那些依赖“封闭生态”收租的厂商，自然失去了话语权。更致命的是，DeepSeek的极简奖励设计（仅依赖答案正确性和格式规范）与GRPO算法，将算力消耗降低30%以上，同时摆脱了对标注数据的依赖。作为普通人，入局大模型时代需要持续学习和实践，不断提高自己的技能和认知水平，同时也需要有责任感和伦理意识，为人工智能的健康发展贡献力量。

2025年初，中国推出了具有开创性且高性价比的「大型语言模型」（Large Language Model — LLM）DeepSeek-R1，引发了AI的巨大变革。本文回顾了LLM的发展历程，起点是2017年革命性的Transformer架构，该架构通过「自注意力机制」(Self-Attention)彻底重塑了自然语言处理。到2018年，BERT和GPT等模型崭露头角，显著提升了上下文理解和文本生成能力。2020年，拥有1750亿参数的GPT-3展示了卓越的「少样本」和「零样本」学习能力。然而，「幻觉」问题

前面我们在上一阶段时候已经简单学习了路由的基础知识了，但是很多东西不是学完就可以了，需要不断复习总结归纳，然后基于原有技术学习更高级的知识的，关于路由的知识会一直反复进行学习和巩固。路由基础。

本书主要是以企业网的架构、设计与发展趋势为主线，分别介绍各类网络冗余技术、访问控制列表的使用、网络地址转换技术的配置、各类广域网技术的原理与配置等，涉及的内容比较深。**《路由交换》**一共有9章，三分之一的内容讲交换技术，剩下三分之二是路由技术。图解系列其实火了很久了，是日本的竹下编写的。**《网络基础》**是华为新出的ICT系列里最基础的一本，旨在帮助零基础和初级阶段的学生理解网络技术的基本理论。第一个是**《图解网络》系列（共3本书）的PDF高清版资源**，添加老杨微信，备注**“图解”**，。

通过在路由器之间，运行动态路由协议，赋予路由器动态感知网络变化，以及发现网络的能力，并且将发现的网络生成路由条目，自动的添加到本地路由表中，并进行维护。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」指定两个下一跳，通过调整AD值，正常情况下，AD值小的路由加表，AD值大的大的隐藏在后台，去往一个目的网段，有多个路径，路由的AD值一致，metric值也一致，流量两条链路同时走。

AI不应是少数人的“魔法”，而是每个人手中的“工具”。

大模型的本质是机器学习，机器学习的本质就是一种数学模型。我们经常能听到这样的说法，某某大模型有多少参数，某某大模型参数量又提升了，这里所说的参数到底是什么？我们知道大模型是训练出来的，那么哪些训练数据都跑哪去了，大模型训练的过程中都干了什么？为什么大模型需要训练？‍‍01大模型的参数到底是什么？我们知道大模型的发展从刚开始的几百个参数，到现在的上千亿个参数，比如GPT-3就有一千七百多亿个参数。

AI 模型训练是指通过数据驱动的方式，让人工智能（AI）系统从经验中学习，以便在给定的任务上进行预测、分类或生成等操作。这个过程通过优化模型的参数（如神经网络的权重和偏置）来最小化预测误差或损失，从而使模型能够在新数据上做出准确的判断，本文将介绍AI模型中神经网络和神经元的构造，以及AI训练的原理。👀。

首先对模型微调下个非严谨的定义，大模型微调（Fine-tuning）是指在预训练模型基础之上，采用标注的高质量数据集或基于人类反馈机制对基础模型进行训练，最终输出具备或增强特定领域能力模型的技术。

背景2017年，《Attention Is All You Need》的一声惊雷，给世人带来了Transformer模型。2022年，以Transformer结构为核心的chatGPT，凭借其震惊世界的表现，掀起了“AI元年" 的序幕：从此，各方纷纷投入大模型领域，前赴后继，热情高涨。然而，随之而来地，大模型在软硬件基础设施、算法及数据集等多方面的挑战和困难也逐步显现；今天我们将从AI-Infra角度出发，带大家了解目前大模型在算力、存储、通信等多方面上硬件资源的挑战和瓶颈，并且提供相关指标的量化手段和选型

尝试SSH直接登陆。也就是说，只要保持请求方法、URL、accept、date不变，签名是可以重用的，可以简单写个python脚本获取sign，将burp作为上级代理捕获数据包后再手动调试数据包。文件读取漏洞在攻防场景下的影响比较有限，但是可以利用文件读取获取历史命令、私钥文件、配置文件等进一步攻击其他服务，继而获取权限或者数据。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」，历史命令比较多，能看出来是经常使用的，还有多个ssh的公私钥。

欢迎大家转载，转载请注明出处。SSRF 的真正威力在于攻击者可以在本地网络中与内部应用程序/服务/网络进行交互，想象一下如果内部网络中存在易受攻击的应用程序/服务，攻击者无法访问该应用程序/服务，因为它位于不同的网络，但如果存在 SSRF 漏洞，攻击者可能能够做到这一点。如果 Web 应用程序部署在 Windows Server 上，要使用 file:/// 协议访问文件，您可以使用 file:///<drive_letter/PathToFile。三种访问方法都是 file:/// 的有效 URI。

随着互联网的普及和数字化进程的加速，网络安全已经成为我们生活中不可或缺的一部分。然而，很多人对于网络安全的概念仍然模糊不清。那么，什么是网络安全？它究竟有多重要呢？一、网络安全的定义网络安全是指通过采取必要的措施和策略，保护网络系统、设备、数据、程序等不受未经授权的访问、使用、披露、破坏、篡改或干扰，以确保网络的可用性、完整性和保密性。可用性意味着授权用户能够在需要的时候正常访问和使用网络资源。完整性要求网络中的数据和信息在存储、传输过程中保持准确和完整，未被未经授权的修改或破坏。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。木马免杀问题与防御********必知必会。供稿：信息科 曲振泓 编辑：韩颖。****网络安全/渗透测试。****网络安全/渗透测试。

AI大模型是指使用大规模数据和强大的计算能力训练出来的人工智能模型。这些模型通常具有高度的准确性和泛化能力，可以应用于各种领域，如自然语言处理、图像识别、语音识别等。

为了防止 SQL 注入攻击，开发人员应实施适当的输入验证和过滤技术，使用参数化查询或预准备语句，并使用 Web 应用程序防火墙和入侵检测系统来检测和阻止恶意 SQL 注入尝试。SQL 注入是一种针对 Web 应用程序和数据库中的安全漏洞的网络攻击。我们了解到，SQL注入是将恶意代码注入数据库查询的行为，这可能导致数据被盗，网站篡改，甚至完全系统泄露。攻击者可以在用户名字段中输入类似 ’ OR ‘1’='1 的内容，导致 SQL 查询为所有用户返回 true，并允许攻击者在没有有效密码的情况下登录。

当应用程序接受XML输入时，攻击者可以插入带有外部实体引用的恶意XML数据，从而导致应用程序执行未经授权的操作，比如访问本地文件系统、执行远程代码等。由于Java下用file和CDATA也无法读取内容含&、%、中文等文件，所以不能读jsp，class等文件，可以选择读向日葵，web.xml等文件来尝试getshell。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」小问题，这可难不倒我胡图图，寻找同指纹站点，找个权限高的，便可解决问题。

ssrf漏洞常用于攻击内网redis服务，可先使用file协议读取服务器的网络配置文件，获得内网ip以及子网掩码，随后使用收集内网信息的方法探测内网的redis服务，常用端口6379。该绕过的原理是http://127.0.0.1/admin与http://xxx.com@127.0.0.1/admin这两个请求是一样的，也就是说对于限制了域名的网站，可以通过这种方法实现绕过。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」